首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 加壳脱壳
    3. 发新帖
请教:Overlay数据如何判断起点和终点?
2004-7-24 15:49 4540

请教:Overlay数据如何判断起点和终点?

911xx 活跃值
2004-7-24 15:49
4540
例如加壳方式是UPX-Scrambler RC1.x -> ┫nT?L [Overlay]
upx的壳找到oep然后dump下来后,如果有overlay的话,dump的程序是无法执行的。我看了两篇weiyi75的相关的文章(”易语言LikeOne新视听网络电影电视UPX-Scrambler RC1.x反脱壳分析+伪破解“and”计算机资料大全 3.0 Overlay 反脱壳分析+加Ctrl+F8智取NAG“)。还是不明白如何判断overlay数据的起始和终止。起始按照我的理解应该是从数据末尾开始向上看,找到和一堆0有明显分界点的位置,但是我发现似乎有好几个类似的位置。
所以请教大家关于overlay的处理到底拷贝那些数据!??
谢谢!

[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。

收藏
点赞2
打赏
分享
最新回复 (7)
fly
雪    币: 896
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
fly 85 2004-7-24 18:01
2
0
有的简单
有的难
911xx
雪    币: 508
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
911xx 2004-7-25 14:44
3
0
能说一说基本的判断方法嘛,也就是简单的那种 :D
Arucuied
雪    币: 214
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
Arucuied 2004-7-25 15:09
4
0
个人认为overlay只是一个内存镜像的写入问题.和脱壳没多大联系
可能理解有误.错了的话,别怪我误导;)
hying
雪    币: 241
活跃值: (21)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
hying 2004-7-25 16:18
5
0
看看原程序运行时没直接映射到内存的那部分.
hying
雪    币: 241
活跃值: (21)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
hying 2004-7-25 16:20
6
0
或者根据未脱壳程序最后一个区块的物理偏移和物理大小,找到最后哪个区块结束的地方,那后边的一般就是.
fly
雪    币: 896
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
fly 85 2004-7-25 16:21
7
0
最初由 Arucuied 发布
个人认为overlay只是一个内存镜像的写入问题.和脱壳没多大联系
可能理解有误.错了的话,别怪我误导;)


修复
Arucuied
雪    币: 214
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
Arucuied 2004-7-25 16:46
8
0
最初由 3kkk 发布
或者根据未脱壳程序最后一个区块的物理偏移和物理大小,找到最后哪个区块结束的地方,那后边的一般就是.


最初由 fly 发布


修复


多谢2位:)
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回